1.13 DoS攻撃とは?主要な攻撃手法と効果的な対策を徹底解説
1.13 DoS攻撃
DoS攻撃(Denial of Service attack)とは、特定のサーバーやネットワークに大量のデータやリクエストを送りつけ、サービスを妨害・停止させる攻撃手法です。この攻撃により、正規のユーザーがサービスを利用できなくなるため、企業や組織に大きな損害を与える可能性があります。本節では、DoS攻撃の概念と代表的な手法について詳しく解説します。
1.13.1 サービス妨害とは
サービス妨害とは、システムやネットワークのリソースを過負荷状態にし、正常なサービス提供を妨げる行為を指します。攻撃者は大量のリクエストやデータを送りつけることで、サーバーの処理能力や帯域幅を圧迫し、サービスをダウンさせます。サービス妨害は、企業の信頼性や業務継続性に深刻な影響を及ぼします。
1.13.2 TCP SYN Flood
TCP SYN Floodは、TCPプロトコルの接続確立手順(三者間ハンドシェイク)の脆弱性を悪用した攻撃です。
攻撃の仕組み:
- 攻撃者は大量のSYNパケット(接続要求)をサーバーに送信。
- サーバーは各SYNパケットに対してSYN-ACKパケット(接続応答)を返す。
- 攻撃者はACKパケットを返さず、接続を完了させない。
- サーバーは未完了の接続を一定時間保持し、新たな接続要求を処理できなくなる。
影響:
- サーバーの接続リソースが枯渇し、正規のユーザーが接続できなくなる。
- サーバーのパフォーマンス低下やクラッシュ。
対策:
- SYNクッキーの導入:サーバーがリソースを消費せずに接続を管理。
- 接続待ちキューの拡大:未完了接続を保持するキューサイズを増やす。
- ファイアウォールやIDSの設定:異常な接続要求を検知・ブロック。
1.13.3 Connection Flood
Connection Floodは、サーバーに大量の接続要求を送りつけ、同時接続数の上限を超えさせる攻撃です。
攻撃の仕組み:
- 攻撃者はサーバーに対して大量の正規の接続を確立。
- サーバーの同時接続数の上限に達すると、新たな接続が拒否される。
影響:
- 正規のユーザーがサーバーに接続できなくなる。
- サーバーのパフォーマンス低下。
対策:
- 同時接続数の制限:1つのIPアドレスからの接続数を制限。
- 接続のタイムアウト設定:アイドル状態の接続を早期に切断。
- 負荷分散の導入:複数のサーバーで負荷を分散。
1.13.4 UDP Flood
UDP Floodは、UDPプロトコルを利用して大量のデータパケットを送りつけ、帯域幅やサーバーのリソースを圧迫する攻撃です。
攻撃の仕組み:
- 攻撃者はサーバーの特定のポート(例えばChargenサービス)に対して大量のUDPパケットを送信。
- サーバーは受信したパケットに対して応答しようとし、リソースを消費。
影響:
- ネットワーク帯域幅の消費。
- サーバーのCPUやメモリリソースの枯渇。
対策:
- 不要なUDPサービスの無効化。
- ファイアウォールでのフィルタリング:異常なUDPトラフィックをブロック。
- 帯域幅の増強:攻撃に耐えられるネットワークインフラの整備。
1.13.5 Ping Flood(ICMP Flood)
Ping Floodは、ICMP Echo Request(Ping)パケットを大量に送りつけ、ターゲットのネットワークやサーバーを過負荷にする攻撃です。
攻撃の仕組み:
- 攻撃者はターゲットに対して大量のPingパケットを高速で送信。
- ターゲットは各Pingに対して応答を返そうとし、リソースを消費。
影響:
- ネットワーク帯域幅の消費。
- サーバーのリソース消費によるパフォーマンス低下。
対策:
- ICMPトラフィックの制限:ファイアウォールでPingの頻度やサイズを制限。
- ICMP応答の無効化:必要に応じてPing応答を停止。
1.13.6 Ping of Death
Ping of Deathは、異常に大きなサイズのICMPパケットを送りつけ、ターゲットシステムをクラッシュさせる攻撃です。
攻撃の仕組み:
- ICMPパケットのサイズが規格の最大値を超えるように細工し、フラグメント化して送信。
- ターゲットはパケット再構築時にバッファオーバーフローを起こし、システムがクラッシュ。
影響:
- システムのクラッシュや再起動。
- サービス停止。
対策:
- 最新のセキュリティパッチの適用:この脆弱性は多くのシステムで修正済み。
- ファイアウォールでのパケット検査:異常なサイズのICMPパケットをブロック。
1.13.7 DDoS攻撃
**DDoS攻撃(Distributed Denial of Service attack)**は、複数の攻撃元から一斉にDoS攻撃を行い、ターゲットを過負荷状態にする手法です。
攻撃の仕組み:
- 攻撃者はボットネット(マルウェアに感染した多数のコンピュータ)を構築。
- ボットネットを制御し、一斉にターゲットに対して攻撃トラフィックを送信。
影響:
- 大規模なトラフィックにより、サーバーやネットワークがダウン。
- 従来のDoS攻撃よりも検知・防御が困難。
対策:
- DDoS対策サービスの利用:クラウドベースのDDoS緩和サービスを導入。
- ネットワークレベルでの対策:異常なトラフィックをフィルタリング。
- 緊急時の対応計画の策定:攻撃発生時の連絡体制や復旧手順を明確化。
1.13.8 分散反射型DoS攻撃
分散反射型DoS攻撃は、第三者のサーバーを経由してターゲットに攻撃トラフィックを送りつける手法です。攻撃者のIPアドレスを隠蔽しつつ、大量のトラフィックを生成します。
攻撃の仕組み:
- 攻撃者は送信元IPアドレスをターゲットのIPに偽装。
- 多数のオープンなサーバー(DNSサーバーやNTPサーバーなど)にリクエストを送信。
- これらのサーバーは、ターゲットに対して応答パケットを送りつける。
- ターゲットは大量の応答パケットを受け取り、過負荷になる。
影響:
- ターゲットのネットワーク帯域やリソースの消費。
- サービスの停止やパフォーマンス低下。
対策:
- アンプ攻撃の防止:自組織のサーバーが反射攻撃に利用されないよう、適切な設定を行う。
- 送信元IPアドレスの検証:ネットワーク機器で送信元IPアドレスが偽装されていないか検査。
- ISPとの連携:異常なトラフィックが検知された場合、プロバイダと協力して対策。
1.13.9 その他のDoS攻撃
その他のDoS攻撃には、以下のような手法があります。
- Slowloris攻撃:HTTPヘッダーを極端に遅く送信し、サーバーの接続を長時間占有。
- HTTP Flood:大量のHTTPリクエストを送りつけ、ウェブサーバーを過負荷に。
- マルチベクター攻撃:複数のDoS攻撃手法を組み合わせ、効果を高める。
対策:
- アプリケーション層の防御:WAF(Web Application Firewall)の導入。
- 接続管理の強化:異常な接続を検知し、遮断。
- セキュリティ情報の共有:業界団体やセキュリティベンダーとの情報連携。
まとめ
DoS攻撃は、サービスの可用性を脅かす深刻な脅威です。攻撃手法は多岐にわたり、年々巧妙化・高度化しています。組織や個人は、これらの攻撃手法を理解し、適切な対策を講じることで、サービスの継続性と信頼性を維持することが重要です。